DevOps는 개발(Dev)과 운영(Ops)의 결합을 통해 더 빠르고 효율적인 소프트웨어 개발 및 배포를 목표로 합니다.
전통적인 보안 관리 체계에서는 개발과 운영을 분리하는 것이 일반적이었으나, DevOps는 이러한 경계를 허물고 협업과 통합을 강조합니다.
이로 인해 발생할 수 있는 보안 위험과 취약성을 최소화하고 인증 과정에서 필요한 증거를 확보하는 방안에 대한 몇 가지를 살펴본다면
관리적 보안 위험 최소화
역할 기반 액세스 제어 (RBAC)
자동화된 보안 프로세스
지속적 모니터링과 감사
정책 및 절차의 명확화
보안 문화의 조성
인증에서 필요한 증거 확보
문서화된 정책 및 절차
감사 로그 및 보고서
보안 교육 및 사용자 인식 프로그램 적극 도입
CI/CD 파이프라인 내 보안 통합
이정도를 설명드릴 수 있을것 같습니다.
자세한 답변 감사합니다, 다만 개발과 운영을 동일한 직원이 수행하던 직원이퇴사하거나 악위적인 행위를 할수가 있는 상태이므로 안심할 정도의 예방책으로 보기에는 부족한 게 현실이고 실제 사례가 발생하고 있는 걸로 압니다 개발과 운영을 분리하는 건 과거의 문화가 아니라 과학적인 이론에 근거한 원칙으로 알고 있으며 ,서비스 개발과 바즈니즈를 우선시하는 문화애서 비롯된 개발방법론이 DevOps라서 이 방법론이 과학적으로 안전성을 담보할 수 있는 개발과 운영을 분리한 업무체계가 필요해 보이네요
[질문] 업무적으로 사용하는 폰의 경우 MDM을 설치하여 주의를 할 수 있겠지만 직원들 개인 휴대폰에 설치하여 관리하는 것은 반발도 있고 여러가지 어려움이 있을 것 같은데 어떤 해결책이 있을까요?
개인용 Apple 기기에 MDM을 등록하여 사용하는 경우 사용자가 희망할 때 기기를 MDM의 관리에서 벗어날 수 있습니다.
뿐만아니라 MDM은 Apple의 정책에 따라 개발되기 때문에 사용자의 개인정보를 침해하지 않습니다.
따라서 업무시간에만 MDM의 관리를 받고, 업무 외 시간에는 개인의 기기로 돌아가서 사용하는것이 가능합니다.
그러면 업무 시간외의 침해에 대해선 취약해 지지 않나요
이런 경우 관리자 업무 부담이 증가하지 않을까요? 외부 활동이 잦으면 매번 설정하고 해제하고 번거로울 것 같기도 하구요.
QR코드를 통해 간단하게 등록하고, 기기 내에서 관리에서 벗어날 수 있습니다.
취합된 로그를 통해 사용자별로 확인하여 업무 부담없이 기기의 보안을 유지할 수 있습니다.
[질문]보안관리체계를 사내에서 구성할 때 개발업무(DEV)와 운영업무(OPS)를 동일한 팀이나 동일한 직원이 하지 않도록 분리하는게 기본원칙인데요 DevOps는 이런 대원칙을 위반하는 거로 보이는데요 이에 따른 관리적 보안 위험과 취약성을 어떻게 최소화해야하는지와 인증에서 요구하는 증적을 확보하는 사례가 궁금합니다